- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
9. Защита информации в сетях
9.1 Межсетевые экраны.
Важнейшую проблему, решаемую сегодня разработчиками корпоративных сетей, можно сформулировать в виде вопроса: «Защита в Internet или от Internet?» В рамках построения защищенной корпоративной сети ответ на данный вопрос обуславливает выбор одной из двух концепций:
построение защищенной корпоративной (виртуальной или наложенной) сети на базе каналов связи и средств коммутации сетей передачи данных общего пользования, в которой применяются открытые протоколы Internet, что предполагает проектирование и воплощение надежной системы защиты;
отказ от средств Internet как таковых, создание специализированной или выделенной сети корпорации с использованием конкретной сетевой технологии, в частности АТМ, frame relay, ISDN.
Эти концепции являются полярными взглядами на проблему и, как следствие, обладают определенными недостатками. Первый подход связан с большими затратами на обеспечение достаточной степени защищенности информации при подключении к Internet. Второй предлагает отказаться от использования Сети, причем не только от существующих в ней каналов связи, узлов коммутации и предоставляемых сервисов, но и от реализуемых в Internet технологий, убедительно доказавших свою жизнеспособность. Очевидно, что оптимальное решение задачи защиты информации в сетевом пространстве Internet представляет собой некий компромисс между данными подходами. Однако мы остановимся на первой концепции. Безопасность при подключении к Internet обеспечивается в том числе и с помощью межсетевых средств защиты, принципы работы которых будут далее изложены.
Межсетевые средства защиты можно разделить на открытые и корпоративные. Первые — это межсетевые экраны (МЭ), функционирующие на основе открытых протоколов Internet и предназначенные для подключения к сети корпорации открытых серверов Internet. Корпоративные МЭ позволяют организовать в корпоративной сети защищенное взаимодействие клиент—сервер с закрытыми серверами корпорации, в том числе по виртуальным каналам сетей общего пользования.
Корпоративные межсетевые средства защиты делятся на внутренние и внешние. При этом внешние МЭ (они работают на виртуальном канале парами — входной и выходной) решают задачу разграничения прав доступа к виртуальному каналу связи и согласования параметров его защищенности при взаимодействии клиент—сервер, а внутренние обеспечивают разграничение прав доступа к ресурсам информационного сервера
МЭ могут выполнять над поступающими пакетами данных одну из трёх операций: пропустить пакет далее (allow), отбросить пакет (deny) при этом отправитель не информируется о недоступности сервиса, reject при которой пакет отбрасывается, но отправителю сообщается по протоколу ICMP о недоступности сервиса на компьютере-получателе информации. МЭ выполняют следующий основные функции:
ограничивает доступ во внутреннюю сеть со стороны общедоступной сети за счет применения фильтров и средств аутентификации, чтобы злоумышленники не могли получить несанкционированный доступ к информации или нарушить нормальную работу сетевой инфраструктуры;
контролирует и регулирует доступ пользователей внутренней сети к ресурсам общедоступной сети, когда те представляют угрозу безопасности;
внутри корпоративных сетей ограничивает доступа пользователей к особо важным ресурсам сети, например к серверам, содержащим финансовую информацию или сведения, относящиеся к коммерческой тайне как персональный межсетевой экран установленный на отдельный компьютер регулирует к нему доступ.
Согласно «Руководящему документу. Межсетевые экраны» Гостехкомиссии при Президенте РФ «межсетевым экраном называется локальное (однокомпонентное) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т. е. анализа по совокупности критериев и принятия решения об ее распространении в (из) автоматизированной системе».
Поддерживаемый уровень сетевой модели OSI является основной характеристикой при классификации межсетевых экранов. Поэтому рассмотрим их классификацию в соответствии с уровнем эталонной модели взаимодействия открытых систем (сетевой моделью) OSI. Отметим, что такая классификация, в силу ряда обстоятельств носит достаточно условный характер. Тем не менее различают следующие типы межсетевых экранов:
управляемые коммутаторы (канальный уровень); сетевые фильтры (сетевой уровень);
шлюзы сеансового уровня (circuit-level proxy);
посредники прикладного уровня;
инспекторы состояния (stateful inspection), представляющие собой межсетевые экраны сеансового уровня с расширенными возможностями.
Существует также понятие «межсетевой экран экспертного уровня». Такие МЭ обычно базируются на посредниках прикладного уровня или инспекторах состояния, но обязательно комплектуются шлюзами сеансового уровня и сетевыми фильтрами. К МЭ экспертного класса относятся почти все имеющиеся на рынке коммерческие брандмауэры.